===== Sažetak =====
DumpZilla je forenzički alat koji korisniku omogućuje kroz jednostavne naredbe izvlačenje pohranjenih podataka kod korisničkih profila preglednika Firefox, Iceweasel i Seamonkey. Instalacija alata vrlo je jednostavna te sadrži detaljne upute za korištenje. Alat omogućuje izvlačenje brojnih podataka, te izvršavanje brojnih operacija nad prikupljenim podacima kao što su filtriranje i sortiranje. Međutim, alat je prestao dobivati podršku čime su pojedine funkcionalnosti zastarjele i prestale davati očekivane rezultate.
Ključne riječi: DumpZilla; web preglednik; besplatni forenzički alat; izvlačenje i analiza podataka
Ppt: https://docs.google.com/presentation/d/1mnrzH8o61bm_ZjjEqc93nBdIYyvekvtE/edit?usp=share_link&ouid=113911258377744585792&rtpof=true&sd=true
===== Uvod =====
Tijekom njihovog korištenja, web preglednici pohranjuju brojne podatke kao što su upiti za pretraživanje, podaci obrasca i e-pošta. Preglednici pohranjuju i vrlo osjetljive podatke kao što su korisničko ime i lozinka prilikom prijave na neki korisnički račun, te podatke o kreditnoj kartici prilikom online kupovine. Također, pohranjene knjižne oznake i povijest pretraživanja mogu dati uvid u interese i navike korisnika. Stoga preglednici imaju vrlo važnu ulogu u forenzici.
Dumpzilla je digitalni forenzički alat za provođenje forenzičke istrage na internetskom pregledniku. Omogućuje analizu i izvlačenje zanimljivih informacija i artefakata internetskih preglednika Firefox, Iceweasel i Seamonkey. Alat Dumpzilla razvijen je u programskom jeziku Python3 te ga je moguće pokrenuti na operacijskim sustavima UNIX i Windows. Pokreće se pomoću naredbenog retka, te se pomoću jednostavnih naredbi može prilagoditi način pretrage, vizualizirati rezultati pretrage, te izdvojiti određeni sadržaj. Dumpzilla je dostupan za besplatno preuzimanje na web stranici razvojnog programera.
===== Informacije koje Dumpzilla dohvaća =====
Dumpzilla može izvući niz različitih vrsta informacija iz preglednika. Cijeli popis vrsta informacija je sljedeći:
- Kolačići + DOM pohrana (HTML 5).
- Korisničke postavke (Dozvole domene, Proxy postavke...).
- Preuzimanja.
- Web obrasci (pretrage, e-mail, komentari…).
- Povijest.
- Oznake.
- Cache HTML5 vizualizacija / ekstrakcija (izvanmrežna predmemorija).
- "Thumbnails" posjećenih stranica. Vizualizacija / Ekstrakcija .
- Dodaci/proširenja i korišteni putovi ili URL-ovi.
- Lozinke spremljene u pregledniku.
- SSL certifikati dodani kao iznimka.
- Podaci o sesiji (Webovi, referentni URL-ovi i tekst korišten u obrascima).
===== Instalacija i pokretanje =====
Za uspješnu instalaciju alata Dumpzilla prvo je potrebno imati instaliran Python 3.x. Zatim je potrebno preuzeti python skriptu sa sljedeće poveznice: https://github.com/Busindre/dumpzilla.
Kako bi preuzeta skripta ispravno radila potrebno je i izvršiti sljedeću naredbu: pip install python-magic-bin
Sada je potrebno pozicionirati se u direktorij gdje se nalazi preuzeta skripta. Skriptu pokrećemo sljedećom naredbom: python dumpzilla.py
Pokretanjem ove naredbe ispisuju se informacije za korištenje alata kao što je prikazano sljedećom slikom.
{{ :racfor_wiki:seminari:dumpzilla_1.png |}}
Alat se koristi sljedećom naredbom:
python dumpzilla.py browser_profile_directory [Options]
Popis svih opcija prikazane su sljedećom tablicom:
| **Opcija** | **Rezultat opcije** |
| --All | Prikazuje sve osim DOM podataka. Ne izvlači sličice ili HTML 5 izvan mreže|
| --Cookies [-showdom -domain -name -hostcookie -access -create -secure <0/1> -httponly <0/1> -range_last -range_create ]| Prikazuje informacije o kolačićima. Ovisno o odabranoj podopciji moguće je prikazivati samo određene podatke te filtrirati rezultate na temelju naziva domene, nazivu kolačića, datumu pristupa, datumu stvaranja... |
| --Permissions [-host ] | Prikazuje informacije korisničkim postavkama i dopuštenjima. Moguće filtriranje po domeni. |
| --Downloads [-range ] | Prikazuje informacije o preuzimanjima, također pohranjenu povijest i popis preuzimanja direktorija. Moguće je filtrirajnje prema datumu pokretanja preuzimanja. |
| --Forms [-value -range_forms ] | Prikazuje informacije o korištenim obrascima i napisanim podacima u njima. Moguće je filtriranje prema pisanom tekstu u obrascu te prema rasponu.|
| --History [-url -title -date -range_history -frequency] | Prikazuje informacije o povijesti pretraživanja. Moguće je filtriranje prema URL-u, web naslovu, po datumu pristupa, rasponu, te frekvenciji posjećivanja. |
|--Bookmarks [-range_bookmarks ] | Prikazuje pohranjenje stranice u oznakama. Moguće je prikazivati samo oznake u određenom vremenskom rasponu.|
| --Thumbnails [-extract_thumb ] | Izdvoji početne sličice preglednika ili nove kartice/prozora.|
| --Range | Filtriranje kolačića, preuzimanja, obrasca, povijesti i oznake prema rasponu. |
| --Addons | Prikaži dodatke/proširenja i putanje/URL-ove koji se koriste pregledniku. |
| --Passwords | Prikaži informacije o pohranjenim korisnicima i njihovim lozinkama i dekodiraj ih.|
| --Certoverride | Prikaži dodane SSL certifikate.|
| --Session | Prikaži podatke o zadnjoj i pretposljednjoj sesiji. Zadnji webovi i korišteni obrasci.|
| --Watch [-text ] | Prikaži u daemon načinu rada URL-ove i tekstualni oblik u stvarnom vremenu.|
===== Korištenje alata =====
S obzirom da Dumpzilla podržava samo internetske preglednike Firefox, Iceweasel i Seamonkey, ovdje će se primjeri analize provoditi na pregledniku Firefox na operacijskom sustavu Windows. Način korištenja i opcije su jednake kao i na Unix operacijskim sustavima, jedina razlika je lokacija direktorija profila preglednika.
Primjer lokacija profila preglednika Firefox:
Windows profil: "C:\Users\Korisnik\AppData\Roaming\Mozilla\Firefox\Profiles\\xxxx.default"
Unix profil: "/home/xx/ .mozilla/firefox/xxxx.default"
==== Primjeri izvlačenja informacija ====
Pokretanjem naredbe uz opciju --All izvlače se sve informacije iz profila. Na ekranu se ispisuje koliko je podataka izvučeno prema kategorijama. Sljedeća slika prikazuje primjer izvršavanja ove naredbe:
{{ :racfor_wiki:seminari:dumpzilla_2.png |}}
Dumpzilla će prikazati SHA256 hash svake korištene datoteke za izvlačenje informacija, te će na kraju prikazati sažetak s ukupnim iznosima za svaku od opcija.
Analizirajući količinu gore prikupljene informacije možemo dobiti dojam o tome koliko je preglednik korišten, te koliko informacija se pohranjuje.
Primjer ispisa za naredbu --Cookies
{{ :racfor_wiki:seminari:dumpzilla_3.png |}}
Izvlačenje kolačića daje nam detalje o aktivnosti preglednika. Pruža informacije o stvorenim sesijama, nazivu domene, nazivu hosta, vremenu isteka sesije, vrijednosti kolačića, je li HTTP ili HTTPS.
Primjer ispisa za naredbu --History uz parametar za selekciju u rasponu između dva navedena datuma (-range_history 2017-09-18 2018-05-23)
{{ :racfor_wiki:seminari:dumpzilla_4.png |}}
Još jedna korisna opcija alata je dohvaćanje spremljenih lozinka na pregledniku. Opcijom --Passwords dohvaćaju se sve spremljene lozinke profila, a na operacijskim sustavima GNU/Linux moguće je i dekodiranje lozinki. Sljedeća slika prikazuje primjer korištenja opcije --Passwords.
{{ :racfor_wiki:seminari:dumpzilla_5.png |}}
Za opciju izvlačenja spremljenih lozinki preglednika (--Passwords) postoji problem kod novijih verzija preglednika FireFox. Za izvlačenje lozinki Dumpzilla pretražuje bazu podataka pod imenom "signons.sqlite" što je vidljivo sljedećim isječkom koda.
{{ :racfor_wiki:seminari:dumpzilla_6.png |}}
Međutim, FireFox je promijenio način na koji sprema lozinke u pregledniku u novu datoteku koja je sada "logins.json". Stoga kod novijih verzija Dumpzilla ne nalazi nikakve rezultate. Isto vrijedi i za opciju –Addons gdje Dumpzilla informacije o proširenjima traži u nepostojećoj datoteci "addons.sqlite".
===== Zaključak =====
Dumpzilla pokazuje dosljednost u izvlačenju podataka te većina opcija radi kako stoji u opisu. Alat pruža podršku za operacijske sustave Windows i Unix, no postoje neke opcije koje nisu podržane kod operacijskog sustava Windows. Alat nije savršen i tijekom testiranja uočeni su problemi. Alat nije ažuriran od 2013. godine (analizirana najnovija verzija 15/03/2013) iako greške i problemi očito postoje. Upravo zbog ovih razloga ovaj se alat ne može preporučiti za upotrebu u forenzičkom laboratoriju jer zbog nedostatka podrške, opcije za pretragu informacija postaju zastarjele na alatu zbog novih ažuriranja preglednika te više ne rade kako se od njih očekuje.
===== Literatura =====
[1] [[https://www.dumpzilla.org/Manual_dumpzilla_en.txt| Dumpzilla manual EN]]
[2] [[https://www.kalilinux.in/2019/10/dumpzilla-kali-linux.html | KALILINUX.IN dumpzilla-kali-linux]]
[3] [[https://medium.com/@shirishpokharel/browser-forensic-with-dumpzilla-on-linux-and-windows-cef805126a1 | Shirish Pokharel: Browser forensic with Dumpzilla on Linux and Windows]]
[4] [[http://ijns.jalaxy.com.tw/contents/ijns-v24-n3/ijns-2022-v24-n3-p557-572.pdf | Sirajuddin Qureshi, Jingsha He, Saima Tunio, Nafei Zhu, Faheem Akhtar, Faheem Ullah1, Ahsan Nazir1, and Ahsan Wajahat: Browser Forensics: Extracting Evidence from Browser Using Kali Linux and Parrot OS Forensics Tools]]